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Abgedichtet 


Vertrauliche Unternehmensdaten schützen 


Systeme, die vertrauliche Daten im Unternehmen 
aufspüren und verhindern, dass sie in unbefugte 
Hände geraten, können einen erheblichen Beitrag zur 
Datensicherheit leisten. Ein sinnvoller Einsatz von Data 
Leakage Prevention ist jedoch nur dann gegeben, 
wenn Verantwortliche die juristischen, betrieblichen 
sowie technischen Möglichkeiten und Grenzen 


berücksichtigen. 


N externen Bedrohungen 
schützen sich viele Unter- 
nehmen mit Firewalls, Intru- 
sion-Prevention- und Intru- 
sion-Detection-Systemen oder 
Anti-Spyware-Programmen. 
Die Kontrolle des Datenflusses 
aus dem Unternehmen heraus 
ist mit herkömmlichen Schutz- 
mechanismen jedoch nicht 
möglich. Und obwohl es klare 
gesetzliche Bestimmungen zum 
Umgang mit vertraulichen Daten 
gibt, stellt ihr Schutz viele Unter- 
nehmen immer noch vor große 
Probleme. So musste die Bun- 
desregierung im März dieses 
Jahres eingestehen, dass seit 
Januar 2005 rund 500 Note- 
books und PCs aus Bundes- 
behörden verschwanden. 

Es stellt sich die Frage, ob 
Unternehmen ihre sensitiven 
Daten überhaupt effektiv gegen 
Verlust schützen können. Denn 
erlangt ein autorisierter Anwen- 
der Zugriff auf sie, hat er in den 
meisten Fällen erst einmal freie 
Hand. Er kann Daten kopieren, 
ausdrucken oder einfach per 


E-Mail verschicken - und somit 
auch verlieren oder stehlen. Die 
Auswirkungen: Verlust geistigen 
Eigentums, schwindendes Kun- 
denvertrauen, rechtliche Konse- 
quenzen. Um solcherlei Schaden 
abzuwenden, suchen immer 
mehr Organisationen nach prak- 
tikablen Ansätzen. Eine neue 
„Zauberformel“ namens Data 
Loss (oder Leakage) Prevention, 
kurz DLP, soll ihnen helfen, die 
Nutzung und Verbreitung ihrer 
Firmendaten zu überwachen 
und zu kontrollieren. 


DLP - ein Kind 
mit vielen Namen 


Der Schutz vor Datenverlusten 
durch autorisierte Benutzer wird 
von den Herstellern inzwischen 
fast ausnahmslos durch eigene 
Begrifflichkeiten umschrieben. 
Information Leak(age) Preven- 
tion, Information Leak Detection 
and Prevention, Data Extrusion 
Prevention, Content Monitoring 
and Filtering, Extrusion Detec- 
tion, Outbound Content Compli- 


„Compliance Summary Dashboard“: In der Übersicht des DLP- 
Produkts von Lumension kann der Systemverantwortliche den 
Status aller angeschlossenen Endgeräte betrachten (Abb. 1). 


ance oder Insider Threat Protec- 
tion — all diese Techniken haben 
das Ziel, vertrauliche Daten im 
Unternehmen aufzuspüren und 
unter Kontrolle zu halten. Am 
häufigsten anzutreffen sind je- 
doch die — daher im Folgenden 
verwendeten - Begriffe Data 
Loss oder auch Data Leakage 
Prevention (DLP). 

Eine Untersuchung der ver- 
fügbaren Produkte bringt schnell 
an den Tag, dass nicht überall, 
wo DLP draufsteht, auch DLP 
drin ist. Meist finden sich nur 
Teilaspekte einer solchen Lö- 
sung. So setzen die Hersteller 


So schützen Unternehmen ihre Daten 


Risiken bewerten 


Am Beginn eines jeden Projek- 
tes sollte immer eine Bestands- 
aufnahme in Verbindung mit 
einer Risikoanalyse stehen: 
Welche Daten sind zu schüt- 
zen, wo liegen sie und wie 
sehen die Sicherheitsbestim- 
mungen aus, die diese Infor- 
mationen schützen? Im Rah- 
men einer Risikobewertung ist 
festzustellen, wo die wichtigs- 
ten Gefahrenquellen (etwa 
Mobile Devices, Web oder 
E-Mail) für einen Datenverlust 
lauern. Danach folgt eine ent- 
sprechende Priorisierung der 
Gefährdungswahrscheinlich- 
keiten. Dies gibt der IT-Abtei- 
lung Hinweise, wo und mit 
welchen DLP-Komponenten die 
Hebel anzusetzen sind. 


Flexibel gestalten 


Den Anforderungen und 
Sicherheitsbestimmungen 
eines Unternehmens entspre- 
chend gilt es, das DLP-Produkt 
so umfassend und flexibel wie 
möglich zu gestalten. Zu 
beachten sind besonders 
Funktionen wie eine umfas- 
sende Überwachung und Ab- 
sicherung der verwendeten 
Protokolle, aber auch eine 
inhaltsbasierende Analyse 
aller sensitiven Dokumenten- 
und Attachment-Typen. Nach- 
richten mit vertraulichen 
Inhalten an unberechtigte 
Empfänger sollten isoliert und 


blockiert werden. Außerdem 
ist eine umfassende und auto- 
matisierte Verschlüsselung 
der Daten gemäß der Sicher- 
heitsrichtlinien des Unterneh- 
mens durchzusetzen. 


Handlungsfähigkeit 
erhalten 


Ein gutes DLP-Produkt sollte 
skalierbar sein und sich dyna- 
misch den wechselnden Gege- 
benheiten und Anforderungen 
im Unternehmen anpassen 
können, ohne dass dies zu 
Lasten einer effektiven Kom- 
munikation oder des Schutzes 
vertraulicher Daten geht. 
Hierzu bedarf es akkurat aus- 
formulierter Regelungen und 
klar definierter Prozesse für 
das Überwachen sämtlicher 
Kommunikationswege im 
Unternehmen wie E-Mail, 
Instant Messaging, Webmail 
oder Webformulare. 


Informationen gewinnen 


Um den zunehmenden Compli- 
ance-Anforderungen gerecht zu 
werden, sollte ein DLP-Produkt 
als Bestandteil eines Security- 
Information-Managements 
einfach zu verwalten sein, 
Archivierungsmöglichkeiten 
bieten und ein detailliertes 
Reporting über eventuelle 
Sicherheitsvorfälle ermöglichen. 
Denn nur durch ein ausführli- 
ches Berichtswesen erhalten 
die verantwortlichen Mitarbeiter 


alle notwendigen Informationen 
beispielsweise zu Absender und 
Empfänger der Daten oder den 
Inhalten von Anhängen und 
können so im Idealfall bereits 
präventiv Gefahren fürs Unter- 
nehmen abwehren. 


An den Nutzer 
denken 


Auch im beruflichen Alltag gibt 
es immer mehr unverwaltete 
Handhelds, PDAs, USB-Sticks 
oder Software. Zusätzlich 
lauern die Gefahren in der 
zunehmenden Nutzung von 
E-Mail zu privaten Zwecken, 
Blogging oder Instant Messa- 
ging am Arbeitsplatz. Entspre- 
chende Nutzungsrichtlinien mit 
klar definierten Formulierun- 
gen helfen hier, das Risiko 
gering zu halten. Auch sollten 
sich die Richtlinien an der täg- 
lichen Praxis orientieren und 
einen ausgewogenen Mix zwi- 
schen Wahlfreiheit und Sicher- 
heit für die unterschiedlichen 
betrieblichen Anforderungen 
gewährleisten. Man darf den 
Anwender in seinen Arbeitsab- 
läufen nicht behindern und 
muss den unterschiedlichen 
Arbeitsprozessen aller Abtei- 
lungen den nötigen Spielraum 
lassen. Ein geeignetes Instru- 
ment zur Durchsetzung dieser 
Policies ist ein schriftlicher 
Sicherheitsleitfaden, der von 
jedem Mitarbeiter zu unter- 
zeichnen ist. 


etwa auf Verschlüsselung der 
Daten auf Festplatten oder Mo- 
bile Devices, Anwendungen zur 
Kontrolle von Wechselmedien 
oder Mailverschlüsselungs- 
Gateways zum Schutz vertrau- 
licher Informationen. Andere 
konzentrieren sich auf E-Mail- 
Gateways und Web-Proxies zur 
Analyse der im Netz übertrage- 
nen Inhalte, um darin enthaltene 
vertrauliche Daten zu entdecken 
und gegebenenfalls Schutzmaß- 
nahmen einzuleiten. 

Eine „echte“ DLP-Lösung je- 
doch sollte den Anwender mit 
Zugriff auf sensitive Daten an 
einer unsachgemäßen Nutzung 
hindern. Dazu muss die Soft- 
ware in der Lage sein, anhand 
verschiedener Kriterien zwi- 
schen vertraulichen und nicht 
vertraulichen Daten zu unter- 
scheiden. Zu der benötigten 
Funktion gehört die genaue 
Analyse der Inhalte, das Wissen 
um ihren Speicherort sowie die 
Fähigkeit, Daten in ihrer Bezie- 
hung zueinander, also ihrem 
Kontext zu erkennen. 


Zwei technische 
Ansätze 


Im Wesentlichen gibt es bei 
DLP-Lösungen zwei unter- 
schiedliche technische Ansätze, 
den netzwerk- und den hostba- 
sierenden. Netzwerkbasierende 
Lösungen sind einfach zu im- 
plementieren und decken in der 
Regel alle gängigen Protokolle 
wie HTTP, HTTPS, SMTP, POP3, 
und IMAP ab. Sie schützen das 
gesamte Unternehmensnetz, 
bieten jedoch keinen Schutz für 
Wechselmedien, Screenshots 
oder Copy&Paste-Vorgänge auf 
dem Client. Technisch werden 
netzwerkbasierte DLP-Produkte 
als Application Level Proxies 
oder Sniffer eingesetzt. Die 
zweite Variante erlaubt in der 
Regel nur das Aufspüren kriti- 
scher Vorgänge, kann diese je- 
doch im Gegensatz zu den auf 
Applikationsebene arbeitenden 
Proxies nicht verhindern. 
Hostbasierende Lösungen 
erfordern einen auf dem zu 
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Vertrauliche Daten müssen auch 
vertraulich bleiben - der Schlüssel 
zur maximalen Datensicherheit 


Das Risiko personenbezogene 
und vertrauliche Daten zu 
verlieren nimmt stetig zu, lässt 
sich aber effektiv vermeiden - 
mit Data Protection-Lösungen 
der neuesten Generation. 


Obwohl es seit Jahren gesetzliche 
Vorschriften zum Datenschutz gibt, 
stellt der Verlust von Unternehmens- 
daten immer noch ein Problem dar. 
Egal, ob Informationen aus Versehen 
oder durch vorsätzliche Aktivitäten 
verlorengehen oder weitergegeben 
werden, der Schaden kann oft erheb- 
liche Ausmaße annehmen. 

Im spektakulärsten Fall sind beim bri- 
tischen Verteidigungsministerium 
persönliche Daten, darunter Namen, 
Adressen, Bankverbindungen und Fa- 
milienstand, von mehr als 600.000 Re- 
kruten oder Militärdienstanwärtern 
abhanden gekommen. Ein Mitarbeiter 
des Ministeriums hatte diese Daten 
auf einem Notebook gespeichert, das 
gestohlen wurde. 


Dieser Fall zeigt ein weiteres Mal, dass 
die derzeit üblichen Maßnahmen den 
Verlust oder die Weitergabe von 
Daten nicht abdecken. Der traditio- 
nelle Ansatz zur Datensicherheit kon- 
zentriert sich darauf, durch Firewalls, 
Intrusion Prevention, Spyware-Schutz 
und Datenverschlüsselung „die Übel- 
täter draußen zu halten”. Um den 
nicht autorisierten Zugriff auf Infor- 
mationen durch Insider zu kontrollie- 
ren, verwenden viele Unternehmen 
Identitäts-Management-Systeme und 
Zugangskontrolllisten. Diese sind 
zwar nützlich, schützen ein Unterneh- 
men aber nicht ganzheitlich vor un- 
berechtigtem Zugriff auf vertrauliche 
Daten. Alle diese Ansätze lassen Si- 
cherheitslücken offen: in Form von 
unbeabsichtigtem Verlust oder vor- 
sätzlicher Weitergabe von Daten 
durch autorisierte Benutzer. 


Um alle Risiken des Datenverlusts 
abzuwenden, müssen Unternehmen 
Inhalte über deren gesamten Le- 
benszyklus hinweg überwachen. 
Vertrauliche Daten werden oft auf 
zentralen Servern gespeichert, aber 
auch von autorisierten Benutzern er- 
stellt, verändert, ausgedruckt und 
kopiert. Sie werden gemeinsam ge- 


nutzt - als Ausdruck, auf USB-Lauf- 
werken und über Netzwerke. Nach 
der Bearbeitung werden sie von Be- 
nutzern auf einer lokalen Festplatte, 
durch Speicherung auf CD-ROM 
oder einem USB-Stick, als Ausdruck 
in Akten oder durch Versenden im 
Netzwerk archiviert. Ein vollständi- 
ger Schutz muss diese legitimen 
Nutzungsarten und Erfordernisse 
sowie die organisatorischen Gren- 
zen, etwa Intranets für Buchhaltung 
und Marketing oder die öffentlich 
zugängliche Webseite, berücksichti- 
gen. Der richtige Ansatz ermöglicht 
eine adäquate geschäftliche Bear- 
beitung und zeitgerechte gemeinsa- 
me Nutzung von Daten innerhalb 
und außerhalb des Unternehmens. 


McAfee® Total 
Protection for 
Data zielt exakt 
auf die be- 
schriebene 
Problematik 

ab und ist bran- 
chenweit die 
kompletteste 
Lösung zum 
Schutz vertrau- 
licher Daten. 


Mit dieser Lösung reagiert McAfee auf 
die Ausweitung der Rechtsvorschrif- 
ten, die Unternehmen im Umgang 
mit Kundendaten zu beachten haben. 
Das Besondere daran ist die Kombina- 
tion aus effizienter Netzwerkadminis- 
tration und detaillierter Endgeräte- 
überwachung mit einem einzigen Da- 
tenschutz-Management-System. 


Schutz von Daten vor nicht 
autorisierter Weitergabe 


Mit McAfee Host Data Loss Prevention 
können Sie unternehmensweite Si- 
cherheitsrichtlinien aufstellen und 
durchsetzen, die Ihren Mitarbeitern 
Regeln und Beschränkungen für die 
Verwendung von sensiblen Daten 
sowie für die Datenübertragung auf 
gängigen Wegen wie E-Mail, Instant 
Messenger, Druck oder USB-Laufwer- 
ke vorgeben. Ob Ihre Mitarbeiter am 
Arbeitsplatz, zuhause oder unterwegs 
sind, spielt dabei keine Rolle - die 
Kontrolle bleibt in Ihren Händen. 


Anzeige 


Verschlüsselung ganzer Festplatten 


Mit McAfee Endpoint Encryption 
kommen eine strenge Zugangskon- 
trolle mit Anwender-Authentifizie- 
rung noch vor dem Hochfahren des 
Betriebssystems (Pre-Boot-Authentifi- 
zierung) und staatlich zertifizierte Ver- 
schlüsselungsalgorithmen zum 
Schutz von Daten auf Endgeräten wie 
Desktops, Laptops, Tablet-PCs, Smart- 
phones und PDAs zum Einsatz. Ver- 
und Entschlüsselung sind für den An- 
wender transparent, finden bei lau- 
fendem Betrieb statt und haben so 
gut wie keinen Leistungsverlust zur 
Folge. 


Verschlüsselung 
von Dateien und Ordnern 


Bestimmen Sie, welche Dateien oder 
Ordner verschlüsselt werden. Mit 
McAfee Endpoint Encryption können 
Administratoren die Verschlüsselung 
der Inhalte bestimmter Ordner sowie 
von Dateien aus bestimmten Anwen- 
dungen oder eines bestimmten Da- 


N 


McAfee Total Protection 
for Data - lückenloser 
Endgeräteschutz. 


teityps festlegen. Anwendergruppen 
erhalten selektive Zugriffsrechte auf 
bestimmte Dateien und Ordner und 
können diese über das gesamte Netz- 
werk hinweg sicher gemeinsam nut- 
zen. Egal, wo Dateien gespeichert 
sind oder wohin sie übertragen wer- 
den, die Daten bleiben dank der Per- 
sistent Encryption Technology’ stets 
verschlüsselt. Wenn ein unbefugter 
Anwender versucht, eine Datei, die 
auf einem Firmenlaptop einsehbar ist, 
auf einem nicht genehmigten Gerät 
zu speichern, so erhält er nur eine ver- 
schlüsselte und damit unlesbare 
Datei. 


McAfee 


Ohmstraße 1 

85716 Unterschleißheim 
Telefon: +49 (0)89 3707 0 
www.mcafee.com/de 
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DLP-Produkte findet man gelegentlich auch in Form der 
beliebten Hardware-Appliances (Abb. 2). 


kontrollierenden Client instal- 
lierten Agenten. Die vom 
Agenten umzusetzende Policy 
definiert der Systemverant- 
wortliche auf einer zentralen 
DLP-Managementkonsole. Da 
der Agent selbst auf dem 
Client arbeitet, kann er grund- 
sätzlich alle dort stattfinden- 
den Aktionen reglementieren. 
Im Vergleich zu netzwerkba- 
sierten Lösungen lassen sich 
so weiterreichende Schutz- 
maßnahmen umsetzen. 

Auch die Anwenderbenach- 
richtigung im Fall eines Regel- 
verstoßes kann unmittelbar und 
aussagekräftig durch vom Agen- 
ten auf dem Client generierte 


un 


Pop-up-Warnmeldungen ge- 
schehen. Da der Agent überdies 
außerhalb des Unternehmens- 
netzes aktiv ist, sind damit eben- 
so remote arbeitende Laptops 
geschützt. Diesen Vorteilen ste- 
hen jedoch einige Nachteile ge- 
genüber: Der Betrieb ist deutlich 
aufwendiger als der einer netz- 
werkbasierten Lösung, da die 
Agenten ausgerollt und aktuali- 
siert werden müssen. Oft stehen 
auch nicht für alle im Unterneh- 
men eingesetzten Betriebssys- 
teme Agenten zur Verfügung. 
Die meisten Hersteller 
unterscheiden hier nach „Data 
in Motion“, also solchen, die 
transportiert werden, „Data at 


Rest“, den gespeicherten, sowie 
„Data in Use“, Daten, die in Be- 
arbeitung sind. Data in Motion 
sind Daten, die über das Netz- 
werk transportiert werden, bei- 
spielsweise per E-Mail, per 
HTTP in Webforen sowie per 
FTP oder Instant Messaging. 
Die Übertragung von Daten 
über diese Standardprotokolle 
lässt sich mit netzwerkbasier- 
ten Produkten kontrollieren. 

Die Integration in vorhandene 
Web-Sicherheitsumgebungen 
erfolgt über eine ICAP-Anbin- 
dung (Internet Content Adaption 
Protocol) oder als kaskadierter 
Proxy. Für SMTP bindet der Sys- 
temverantwortliche die Produkte 
als zusätzliches Mail Relay in die 
Mail-Kette ein. In diesen Konfi- 
gurationen können die netz- 
werkbasierten DLP-Lösungen 
vertrauliche Inhalte nicht nur er- 
kennen, sondern deren Übertra- 
gung auch verhindern. Eine wei- 
tere Möglichkeit besteht in 


einem passiven Monitoring der 
Netzwerkkanäle an Mirror-Ports 
in der Switch-Infrastruktur. Die 
Übertragung der Inhalte lässt 
sich so zwar nicht unterbinden, 
aber entdecken und loggen. Im 
Schadensfall dient sie der Be- 
weissicherung. 

Die vertraulichen Daten 
eines Unternehmens finden 
sich an unterschiedlichen Stel- 
len. Data at Rest lagern auf 
zentralen Systemen wie Datei- 
servern, Datenbanken, Doku- 
mentenmanagement- und Wa- 
renwirtschaftssystemen oder 
liegen auf Arbeitsplatzrechnern 
in Form lokaler Kopien, durch 
Kopieren erzeugter Teildoku- 
mente, E-Mail-Anhängen und 
vielem mehr. Während man die 
Daten auf zentralen Systemen 
gut sichern kann, ist dies auf 
Arbeitsplatzrechnern oft nicht 
der Fall. Deshalb ist es wichtig, 
auf diesen weniger sicheren 
Systemen die vertraulichen 
Daten ausfindig zu machen. 

Zu diesem Zweck durchsu- 
chen DLP-Produkte Fileserver, 
Datenbanken und andere Syste- 
me. Um auch große, über WAN 
(Wide Area Network) verbunde- 
ne Netze und Datenbestände in 
akzeptablen Zeiträumen durch- 
suchen zu können, verteilt eine 
DLP-Managementkonsole die 
Suchaufgabe auf dedizierte 
Scanning-Systeme und Soft- 
ware-Agenten, die jeweils 
Teilbereiche des Unterneh- 
mensnetzes durchsuchen und 
die Ergebnisse an die Konsole 
zurückmelden. Diese Scans er- 
folgen automatisch und in regel- 
mäßigen Abständen. Aus Perfor- 
mancegründen werden jedoch 
nur inkrementelle Scans durch- 
geführt: Die Scanner merken 
sich einfach bereits gescannte 
Daten und durchsuchen sie 
nicht jedes Mal aufs Neue. 

Unter Data in Use (Daten in 
Bearbeitung) fällt die Kontrolle 
der Bearbeitung der vertrau- 
lichen Daten auf dem Client. 
Diesen Schutz können nur 
hostbasierte Produkte bieten. 
Sie sollten neben den offen- 
sichtlichen Wegen des Daten- 
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verlustes über USB-, Wireless- 
LAN-, Bluetooth und Netz- 
werkschnittstellen auch andere 
kritische Benutzerhandlungen 
kontrollieren. Insbesondere 
Screenshots, Copy&Paste- 
Aktionen, bei denen ein Nutzer 
Daten aus einem geheimen 
Dokument etwa in eine Mail 
kopiert, und der Ausdruck auf 
dem falschen, in einer anderen 
Abteilung stehenden Drucker, 
sind hier zu nennen. 


PDF statt Word- 
Dokument 


Die Frage, welche Daten zu 
schützen sind, zieht fast 
zwangsläufig die Frage nach 
sich, mit welchen Mitteln Unter- 
nehmen unerlaubte Datenab- 
flüsse verhindern. Heutzutage 
können bereits viele Produkte 
(E-Mail-Gateways, HTTP-Pro- 
xies) Policies durchsetzen, die 
etwa den Datenaustausch mit 
externen Kommunikationspart- 
nern über Office-Dokumente 
verbieten. Diese Policies sind 
sinnvoll, da Office-Dokumente 
häufig Metadaten mit internen 
Informationen wie Autor, Spei- 
cherort des Dokuments oder 
Änderungshistorien enthalten. 
Häufig setzen Anwenderunter- 
nehmen deshalb für den exter- 
nen Datenaustausch PDF- statt 
Office-Dateien ein. Wie lässt 
sich aber verhindern, dass über 
einen grundsätzlich zur externen 
Kommunikation zugelassenen 
Dokumenttyp wie PDF vertrauli- 
che Daten aus dem Unterneh- 
men transportiert werden? 

Hier beginnt der Bereich der 
DLP-Produkte, die durch eine 
Analyse der Daten unterschei- 
den, welche vertraulich sind und 
welche nicht. Dazu untersuchen 
sie sowohl den Zusammenhang 
beziehungsweise Kontext, in 
dem die Daten auftreten, als 
auch deren Inhalt. Der vertrauli- 
che Daten anzeigende Kontext 
ist für jeden Datentyp individuell 
verschieden. Eine E-Mail kann 
beispielsweise schützenswert 
sein, wenn sie der Vorstand an 
die Bank sendet, eine Datei 
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etwa, wenn sie auf dem Server 
der Entwicklungsabteilung ab- 
gelegt ist. 

Die Analyse kann vertrauli- 
che Inhalte auf verschiedene 
Weise erkennen. Eine Variante 
ist das Beschreiben sensibler In- 
halte über Schlüsselwörter und 
reguläre Ausdrücke (Code zur 
Beschreibung von Zeichen- 
mustern). Die Verantwortlichen 
definieren dazu typische 
Schlüsselwörter und reguläre 
Ausdrücke und versehen sie mit 
einer entsprechenden Gewich- 
tung. Gilt es beispielsweise eine 
neu entwickelte chemische Ver- 
bindung zu schützen, werden 
die Namen und Formeln der 
Ausgangs- und Endstoffe er- 
fasst. Überschreitet die Summe 
der gewichteten Auftrittshäufig- 
keiten einen Schwellwert, so 
klassifiziert das System das Do- 
kument als vertraulich. 

Dieses Beispiel lässt aber 
auch ahnen, wie schwierig es 
ist, die vertraulichen Inhalte zu 
beschreiben, da die für die che- 
mische Verbindung verwende- 
ten Ausgangsstoffe ebenso in 
anderen, nicht vertraulichen 
Dokumenten vorkommen kön- 
nen. Ebenso wenig ist das Auf- 
tauchen der chemischen For- 
mel des geheimen Endstoffs 
signifikant, da beispielsweise 
die Verbindung mit der Formel 
C,Hg0 sowohl Ethanol (CHz- 
CH,-Oh) als auch Dimethyl- 
ether (CH,-O-CH;) darstellen 
kann. Generell erfordert eine 
hohe Genauigkeit in der Erken- 
nung sensibler Inhalte bei 
gleichzeitig geringer Falsch- 
erkennungsrate einen großen 
Aufwand bei der Erstellung des 
Regelwerks von Schlüsselwör- 
tern und regulären Ausdrücken. 

Eine weitere Technik der In- 
haltsanalyse ist das sogenannte 
Fingerprinting, bei dem der 
Hash-Wert eines Dokuments 
gebildet wird. Ein Hash-Wert ist 
das Ergebnis einer mathemati- 
schen Funktion, die aus Einga- 
bedaten unterschiedlicher 
Länge eine praktisch eindeutige 
Ausgabe kurzer, fester Länge 
erzeugt. Der Ausgabewert 
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ändert sich selbst bei minimaler 
Variation der Eingabe stark, 
sodass der Hash-Wert das 
vollständige, unmodifizierte 
Dokument repräsentiert und zu 
dessen Identifikation dienen 
kann. (Bekannte Hash-Algorith- 
men sind MD5 und SHA-1.) 
Diese Methode erzeugt zwar 
keine falsch-positiven Ergeb- 
nisse, ist jedoch nicht resistent 
gegen einfachste Änderungen 
des Dokuments. Um auch Teile 
eines vertraulichen Dokumentes 
identifizieren zu können, unter- 
stützen manche Lösungen das 
partielle Fingerprinting. Dazu 
bildet der Algorithmus Hash- 
Werte von vielen kleinen, einan- 
der überlappenden Teilen des 
Dokuments. Anhand dieser par- 
tiellen Hashes lassen sich selbst 
Teile eines vertraulichen Doku- 
ments erkennen. Diese Technik 
funktioniert in der Regel sehr 
gut. Die zu markierenden Teile 
sollte man jedoch nicht zu klein 
wählen, da sonst eine allge- 
meingültige, häufig anzutreffen- 
de Phrase leicht zu falsch-posi- 
tiven Ergebnissen führen kann. 
Für die Auswahl eines geeig- 
neten DLP-Produktes sind nicht 
nur technische, sondern auch 
administrative Parameter zu 


berücksichtigen. Auf technischer 
Seite muss ein Unternehmen 
entscheiden, ob ein netzwerk-, 
ein agentenbasierter Ansatz 
oder beide zur Erfüllung der An- 
forderung erforderlich sind. 

Weiterhin ist zu überlegen, 
wie die im spezifischen Umfeld 
relevanten Datenabflusskanäle 
etwa USB-Schnittstellen, Copy & 
Paste oder HTTP überwacht 
werden können. Dazu müssen 
die Verantwortlichen verbotene 
Vorgänge in ihren technischen 
Abläufen analysieren und mittels 
der Policy abbilden. Hierbei ist 
es erforderlich, sowohl den In- 
halt der vertraulichen Informa- 
tionen als auch den erlaubten 
Kontext klar zu definieren. 

Legt ein Unternehmen durch- 
gängig alle geheimen Daten in 
einem bestimmten Verzeichnis 
auf dem Fileserver ab, so ist der 
erlaubte Kontext für diese Daten 
schlicht eben dieses Verzeichnis 
auf dem Dateiserver. Jeden Ver- 
such, die Daten nun an einen 
anderen Ort zu kopieren, unter- 
bindet die Policy. Was aber ge- 
schieht, wenn ein Anwender 
diese Daten beispielsweise per 
USB-Stick transportieren muss? 
In diesem Fall lässt sich der er- 
laubte Kontext um die ver- 
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schlüsselte Ablage der Daten 
auf diesen Datenträger erwei- 
tern. Dieses Vorgehen versagt 
jedoch immer dann, wenn auf- 
grund gewachsener Strukturen 
keine derartig eindeutige Zuord- 
nung zwischen Kontext der 
Daten und umzusetzender Si- 
cherheitsrichtlinie möglich ist. In 
diesem Fall hilft es nur, vertrau- 
liche Daten zusätzlich über eine 
Inhaltsanalyse zu identifizieren. 

Das Erstellen der Policy er- 
fordert somit eine Kenntnis der 
Geschäftsprozesse, der Inhalte 
der Daten sowie die Fähigkeit, 
diese Parameter in entspre- 
chende technische Nutzungs- 
richtlinien zu übersetzen. Hierbei 
sollten Verantwortliche darauf 
achten, verschiedene Adminis- 
tratorenrollen mit unterschied- 
lichen Rechten zu definieren. 
Der Ersteller dieser Nutzungs- 
richtlinien sollte etwa aus daten- 
schutzrechtlichen Gründen 
keine Berechtigung zum Sichten 
der Logs und Reports haben, die 
Revision dagegen keinerlei 
Rechte zur Änderung dieser Po- 
licies. Erstrebenswert ist in die- 
sem Fall eine Umsetzung nach 
dem Vier-Augen-Prinzip. 

Die Revision kann die Vor- 
fälle zwar einsehen, jedoch nur 
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Die alarmrote Anzeige an der Managementkonsole des Produkts von Infowatch sollte den 
Systemverantwortlichen aufmerken lassen: Hier versucht jemand, vertrauliche Inhalte per Mail 
aus dem Unternehmen zu schleusen (Abb. 4). 
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in anonymisierter Form. Erst 
bei Vorliegen eines konkreten 
Verdachts erhält sie durch Ein- 
gabe eines weiteren, nur dem 
Betriebsrat vorliegenden Pass- 
worts Zugriff auf die vollstän- 
digen, nicht anonymisierten 
Auswertungen. Da die detek- 
tierten Vorgänge strafrechtliche 
Relevanz erhalten können, bie- 
ten manche Produkte zusätzlich 
forensische Hilfen wie Audit 
Trails an. Diese Mechanismen 
ermöglichen es, unerlaubte Zu- 
griffe, Datenabflüsse, Löschun- 
gen, Änderungen und Manipu- 
lationen an Dokumenten, 
Unterlagen oder anderen Auf- 
zeichnungen nachzuvollziehen. 


Datenschutz nicht 
vernachlässigen 


Da DLP-Produkte den Mitarbei- 
ter weitreichend kontrollieren 
können, ist in Deutschland ihr 
Einsatz in der Regel von der Zu- 
stimmung des Betriebsrates ab- 
hängig. Aus betrieblicher Sicht 
ist es kaum möglich, eine „was- 
serdichte“ Policy zu entwickeln 
und dauerhaft zu betreiben, 
ohne den Anwender zu stark in 
seinen täglichen Abläufen zu 
behindern. Richtlinien sollten 
sich vielmehr darauf beschrän- 
ken, nur die wirklich kritischen 
Aktionen mit den wirklich wich- 
tigen Daten zu reglementieren. 
Auch technisch gibt es Gren- 
zen, speziell bei der Inhaltsana- 
Iyse (s. S. VII). Vergleichsweise 
einfache Modifikationen der zu 
schützenden Daten wie das 
Austauschen etwa aller Buch- 
staben A eines Textes durch ein 
X reichen meist aus, um eine 
Analyse der Inhalte auszutrick- 
sen. DLP hilft den Unternehmen 
vor allen Dingen effektiv bei der 
Bekämpfung des fahrlässigen 
Umgangs mit vertraulichen 
Daten. Dem technisch versierten 
Anwender kann der Missbrauch 
der Daten zwar erschwert, aber 
nur selten komplett unmöglich 
gemacht werden. (sf/ur) 
Sven Gerlach 
ist Senior Consultant bei 
Integralis. 
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Schutz 


Techniken und Methoden zur 
Klassifizierung von Daten 


Um den lese- und schreibberechtigten Nutzern 
sensibler Daten eine lästige Vollsperrung diverser 
Hardwareschnittstellen zu ersparen, statten Hersteller 
ihre sogenannten Data-Leakage-Prevention-Produkte 
mit Methoden zur Klassifizierung von Daten aus. 
Dabei versuchen sie festzustellen, ob eine Datei 
schützenswerten Inhalt enthält oder nicht. 


ittlerweile setzt sich in 

den Unternehmen die 
Erkenntnis durch, dass im 
Gegensatz zu gewohnten Da- 
tenschutzansätzen nicht die 
eingesetzten Systeme, son- 
dern die vorhandenen Daten 
das zu schützende Gut sind. 
Techniken und Methoden zum 
Schutz der Systeme existieren 
in vielfältiger Form und die 
Unternehmen nutzen sie auf 
unterschiedliche Art und 
Weise. Da jedoch mit diesen 
klassischen Ansätzen ein Ab- 
fließen der Daten nicht — oder 
nur sehr schwer - verhindert 
werden kann, waren neue Lö- 
sungen notwendig. 


Unbeliebte 
Vollsperrung 


Die ersten Ansätze beschränk- 
ten sich zum Beispiel auf das 
Sperren der vorhandenen USB- 
Schnittstellen der Notebooks 
oder Desktop-Systeme. Da- 
durch wurde auf wirksame 
Weise ein Datenabfluss über 
externe Festplatten oder USB- 
Sticks verhindert. Doch war 
diese Variante nicht nur unflexi- 
bel, auch war sie bei den Be- 
nutzern sehr unbeliebt. Diese 
„Ganz oder gar nicht“-Ansätze 
brachten neben der geringen 
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Akzeptanz der Benutzer den 
Nachteil mit sich, dass sie auch 
aus administrativer Sicht aus- 
gesprochen starr waren. 

Data Leakage Prevention 
(DLP) versucht auf intelligente 
Art festzustellen, ob eine Datei 
schützenswerten Inhalt enthält 
oder nicht. Grundsätzlich erge- 
ben sich bei der weiteren Be- 
trachtung der Datenanalyse 
drei Fragen: An welcher Stelle 
werden die anfallenden Daten 
gesammelt? Hier lassen sich 
die zwei Varianten netzwerk- 
oder hostbasierte Produkte be- 
ziehungsweise eine hybride 
Lösung unterscheiden (siehe Ar- 
tikel „Abgedichtet“ auf Seite |). 
Nur mit einer hostbasierten 
Lösung können Unternehmen 
neben dem Netzwerk weitere 
Schnittstellen wie USB, CD/DVD, 
Zwischenablage und Ähnliches 
kontrollieren. 

Die zweite Frage bezieht sich 
auf die drei Zustände der Daten: 
— „Data in Motion“: Hier ist 
eine Kontrolle aller in Bewe- 
gung befindlichen Daten erfor- 
derlich, zum Beispiel Versand 
einer E-Mail oder FTP-Upload; 
— „Data in Use“ benötigen 
eine Überwachung aller For- 
men der Dateioperationen wie 
Lesen, Schreiben, Kopieren, 
Verschieben; 


— „Data at Rest“: Hier kommt 
eine relativ neue Überwachung 
aller Speicherorte der Daten 
zum Einsatz. 

Schließlich geht es bei der 
dritten Frage um die mög- 
lichen Varianten der Überprü- 
fung. Diese begrenzen sich auf 
die zwei Ansätze Kontext (Con- 
text) und Inhalt (Content) der 
Dateien. 


Wer verschiebt 
was wohin? 


Eine Kontextüberprüfung um- 
fasst die Überwachung von 
Speicherquellen oder Speicher- 
zielen, die Analyse von Meta- 
daten oder Zeitstempeln sowie 
die Betrachtung von Datei- 
typen. Verschiebt jemand bei- 
spielsweise ein PDF-Dokument 
von Fileserver 1 auf eine exter- 
ne USB-Platte von Host 2, er- 
folgt die Überprüfung, ob dieser 
Kopiervorgang legitim ist, auf 
Basis der Analyse von Daten- 
quelle, -typ und -ziel. Auf diese 
Art erreicht man zwar eine ef- 
fektive Form der Überwachung 
und Analyse des Datenstroms, 
Informationen über den Inhalt 
der Daten erhält man so aller- 
dings nicht. Diese Form der 
Überwachung ist daher kaum 
ausreichend. 

Um tatsächlich den Inhalt 
von Dateien zu betrachten und 
zu bewerten, greifen alle DLP- 
Produkte auf eine Analyse des 
Inhalts (Content Analysis) zu- 
rück. Dabei sind jedoch einige 
Besonderheiten und sogar Tü- 
cken zu beachten. Die einge- 
setzten Analysemodule der 
Produkte müssen in der Lage 
sein, den Inhalt der Dateien zu 
parsen. Das ist bei einer einfa- 
chen Textdatei noch eine über- 
schaubare Herausforderung, 
schwieriger gestaltet sich der 
Vorgang bei komplexen Doku- 
menten, die darüber hinaus 
noch komprimiert und gepackt 
sind. Sollte zum Beispiel in 
einer mit ZIP gepackten Power- 
point-Präsentation eine Excel- 
Tabelle eingefügt sein, so 
müsste das eingesetzte Pro- 


dukt in der Lage sein, die 
Datei zu entpacken, Power- 
point korrekt zu parsen, die 
eingefügte Tabelle zu entde- 
cken und auch deren Inhalt 
korrekt zu analysieren. 

Besonders schwierig ge- 
staltet sich die Inhaltsanalyse 
jedoch bei verschlüsselten Da- 
teien. Hier ist eine Analyse nur 
möglich, wenn entweder auf 
dem Host oder im Netzwerk 
eine Art Recovery Key existiert, 
der erlaubt, erst die Datei zu 
entschlüsseln und dann die 
oben beschriebene Analyse 
durchzuführen. Sinnvoller- 
weise müssen also die einge- 
setzten DLP-Produkte neben 
den Standardformaten wie 
PDF, Office-Formaten, Pack- 
formaten wie RAR, ZIP und 
Ähnlichen auch die besonde- 
ren Dateiformate unterstützen, 
die in einer bestimmten Orga- 
nisation eingesetzt werden. 
Darüber hinaus muss das Pro- 
dukt sprachunabhängig sein, 
wenn es ebenfalls im multina- 
tionalen Umfeld Verwendung 
findet. 

Um die eingangs erwähnte 
Vollsperrung der Schnittstellen 
zu vermeiden, bedarf es also 
intelligenter Techniken zur 
Analyse des Inhalts der vor- 
handenen Daten. Im Wesent- 
lichen kommen sechs Verfah- 
ren zur Analyse des Inhalts von 
Dateien zum Einsatz. Die 
meisten Hersteller verwenden 
für ihre Produkte eine Kombi- 
nation verschiedener Vorge- 
hensweisen. 


Am Anfang war der 
reguläre Ausdruck 


Reguläre Ausdrücke bilden die 
klassische Form der Analyse 
und sind in allen DLP-Produk- 
ten im Einsatz. Diese erste 
Stufe der Analysetechnik dient 
der Erkennung fester Muster, 
wie sie in Adressen, Kreditkar- 
tennummern oder Postleitzah- 
len enthalten sind. In der Regel 
erweitern die Hersteller die 
einfache Form der regulären 
Ausdrücke, zum Beispiel über 
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die weitergehende Betrach- 
tung von N-Grammen oder die 
linguistische Verarbeitung. Das 
Ziel ist, den Zusammenhang 
von Schlüsselwörtern zu ver- 
stehen und ihn in einen sinn- 
vollen Kontext zu setzen. 

Der Datenbank-Fingerab- 
druck ist eine Technik, die ent- 
weder über Onlineabfragen 
der Datenbank oder die Nut- 
zung kompletter, zuvor erstell- 
ter Datenbank-Dumps zur 
Anwendung kommt. Ein Ein- 
satzgebiet ist zum Beispiel die 
Überprüfung, ob Kundenna- 
men oder Kundennummern 
aus der Datenbank in Doku- 
menten auftauchen. 

Die Technik der exakten 
Datenübereinstimmung über 
Hash-Summen stellt im Prinzip 
eine Art Integritäts-Check 4 la 
Tripwire — vielen als Werkzeug 
zum Systemcheck bekannt — 
dar. Dabei werden Hash-Sum- 
men mit MD5 oder SHA über 
eine Datei gebildet und diese 
dann durch das DLP-Produkt 
analysiert und verglichen. Geht 
es um die Betrachtung stati- 
scher Dateien, so ist dies eine 
effiziente Methode, bei sich 


verändernden Office-Dateien 
jedoch ist dieses Verfahren 
sinnlos. 


Herausforderung 
„Copy & Paste“ 


Eine weitere Methode besteht 
in der Prüfung der Übereinstim- 
mung von Teilbereichen. Be- 
sonders wichtige Dokumente 
lassen sich über eine Analyse 
des kompletten Dokuments 
oder von Teilbereichen über- 
prüfen, denn es besteht die 
Möglichkeit, dass Benutzer ver- 
trauliche Inhalte in kleine Häpp- 
chen unterteilen und in eigene 
Dokumente kopieren. Die Teil- 
analyse ist jedoch sehr aufwen- 
dig, da die zu untersuchenden 
Segmente des Dokuments mit 
einem Hash versehen werden, 
den das System überprüfen 
muss. Die meisten Hersteller 
nutzen an dieser Stelle eben- 
falls die Möglichkeit linguisti- 
scher Verarbeitung. 

Statistische Analysen bieten 
mithilfe von gängigen statisti- 
schen Methoden - zum Bei- 
spiel Bayessche Statistik — eine 
Lernmöglichkeit. Statistische 


Methoden lassen sich bei un- 
strukturierten und unbekannten 
Daten sinnvoll einsetzen, ber- 
gen aber dadurch ein hohes 
Fehlalarm-Risiko. 

Neuerdings liefern immer 
mehr Hersteller von DLP-Sys- 
temen vordefinierte Regelsätze 
und Wörterbücher mit, welche 
die Einhaltung behördlicher 
Auflagen wie GLBA (Gramm- 
Leach-Bliley Act sind Regula- 
rien der Finanzdienstleistung), 
SB 1386 (Richtlinien für die 
Vertraulichkeit persönlicher 
Informationen) und SOX unter- 
stützen. Für die PCI-Compli- 
ance, die Einhaltung des 
neuen Sicherheitsstandards 
der Kreditkartenindustrie 
(siehe Artikel „Schutzzwang“ 
in diesem Heft) werden immer 
die Muster der Kreditkarten- 
nummer abgefragt. Zu diesem 
Zweck gibt es vorgefertigte 
Module und Parser, die den 
Aufbau der Nummer schon 
kennen, Gleiches gilt für SB 
1386. 

Hier sind die interessanten 
Werte Sozialversicherungsnum- 
mer, Kreditkartennummer, 
Adresse et cetera. Sie sind 


VOR- UND NACHTEILE DER 
KLASSIFIZIERUNGSMETHODEN 


Methode 


Vorteil 


Nachteil 


ebenfalls im Modul vordefiniert. 
Die einzelnen Kreditkartennum- 
mern, Sozialversicherungsnum- 
mern und weitere Daten des 
Unternehmens sind nicht in 
Modul oder Search Engine 
hinterlegt, wohl aber die Struk- 
tur. Im Wesentlichen ist dieses 
Modul eine deutliche Erleichte- 
rung für die Administratoren. 
Sollte ein Unternehmen nach 
den obigen Nummern suchen 
wollen, könnte es das Regel- 
werk SB 1386 anwenden und 
müsste nicht eigene Filter und 
Module bauen. 

Für den deutschen Markt 
ist, bis auf das Regelwerk EU 
Data Protection Directive, der 
Markt noch eher dünn. Grund- 
sätzlich können die Hersteller 
aber auch hier alles „vorbau- 
en“, was der Markt an Compli- 
ance bietet. Der Vorteil hier 
liegt im deutlich geringeren 
Implementierungsaufwand 
durch maßgeschneiderte Re- 
gelsätze. Vor- und Nachteile 
der unterschiedlichen Metho- 
den zur Inhaltsanalyse bezie- 
hungsweise Klassifizierung 
zeigt die gleichnamige Tabelle. 


Fazit 


Für gewöhnlich nutzen alle 
Hersteller eine Kombination 
aus Kontext- und Inhaltsanaly- 
se in ihren Produkten. Zur In- 
haltsanalyse werden die oben 
aufgeführten Techniken in Tei- 
len oder als Mischform ge- 
nutzt. In Summe bieten die 
DLP-Produkte eine sinnvolle 
Möglichkeit, den Datenabfluss 
aus dem Unternehmen zumin- 
dest teilweise zu kontrollieren. 
Leider können auch die besten 
DLP-Produkte nicht verhin- 
dern, dass der Benutzer den 
Bildschirm mit seiner im 
Handy eingebauten Kamera 
abfotografiert — bei Hunderten 
von Kundendatensätzen dürfte 
ihm aber zumindest der Spaß 
daran und am späteren Abtip- 
pen vergehen. (sf/ur) 
Jörg Schäfer 
ist IT-Sicherheits-Consultant 
bei der Berliner HiSolutions AG. 
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Klare Vorteile für KMUs, Konzerne und Service Provider 


Managed Security Services 


Der Markt für Managed Secu- 
rity Services wächst bestän- 
dig, jedoch galt es als schwie- 
rig und kostenintensiv, diese 
Dienstleistung im Outsouring- 
Verfahren zu erbringen. 
Clavisters neue Security 
Service-Plattform beseitigt 
diese Probleme und ermög- 
licht es so Resellern, System- 
häusern, IT-Abteilungen 
sowie Service Providern effi- 
zient auf dem Outscouring- 
Security-Markt zu agieren. 


Die Clavister Security Service-Plattform 
(SSP) steht für das gesamte Clavister-Pro- 
duktportfolio von Security-Gateways, 
UTM-Appliance- sowie Management Syste- 
me und den damit zusammenhängenden Si- 
cherheits-Services. Diese Lösung, kombi- 
niert mit den Clavister Lifecycle-Systemen 
FineTune, PinPoint, und Insight setzt einen 
neuen Standard für Managed Security Ser- 
vices, da sich einerseits die Total Cost of 
Ownership (TCO) auf ein Minimum redu- 
zieren lässt und andererseits ein rascher Re- 
turn of Invest (ROI) erreichen lässt: sowohl 
für KMUs, die ihre Security an externe 
Dienstleister auslagern, als auch für Konzer- 
ne, die über interne IT-Serviceabteilungen 
verfügen und Service Provider, die ihren 
Kunden wiederum Sicherheitsdienstleistun- 
gen anbieten wollen. FineTune und PinPoint 
werden von Clavister kostenlos angeboten, 
wodurch Manage Security Service Provider 
im Gegensatz von herkömmlichen Lösun- 
gen massiv Geld sparen können. Die Hard- 
ware-Basis in den Zentralen bilden dabei 
UTM-Appliance-Systeme der 4000er-oder 
3000er-Systemreihen. Zur Anbindung von 
Niederlassungen kommt die SG10-Serie 
zum Einsatz. Die SG10-Serie garantiert Ma- 
nage Security Service Providern eine opti- 
male und sichere Anbindungen von kleinen 
Firmen oder Außenstellen. Damit werden 
Kompromisslösungen vermieden, die Ser- 
vice Provider in der Vergangenheit dazu ge- 
zwungen hatten sich zwischen Standardpro- 
dukten mit unzureichenden Funktionen oder 
teuren Lösungen mit unnötig vielen Featu- 
res zu entscheiden. Die SG10-Serie bietet 
darüber hinaus noch weitere Vorteile: Bei- 
spielsweise kann eine Antivirus Scan-Engi- 


ne und eine Supportfunktion für Clavisters 
InSight Reporting- und Logfile-Analyse- 
System integriert werden. Ebenso enthält die 
Serie eine Web Content Filtering-Funktion 
sowie ein Intrusion Detection und Preven- 
tion (IDP/IPS) System. 

Die Lösung ermöglicht einen schnellen 
und kosteneffizienten Einsatz der Managed 
Security Services (MSS), beispielsweise in 
den Bereichen: 

e Managed VPN 

e Managed Wireless Network Protection 

° Managed Firewalling 

e Managed Intrusion Detection and 
Prevention (IDP) 

° Managed Antivirus Protection 

e Managed Content Filtering 

® Managed Web-Use Reporting 

° Managed Regulatory Compliance 
Reporting 
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Die Clavister SSP-Plattform zeichnet 
sich durch die Fähigkeit aus, sich an das 
Wachstum der Unternehmen anpassen zu 
können (Clavister xPansion Lines). Hierzu 
wurde die Lösung mit Feinabstimmungs- 
mechanismen und hochgradig skalierbaren 
Funktionen ausgestattet, die es jedem Be- 
treiber ermöglichen, diese an seine indivi- 
duellen Leistungs- und Funktionsanforde- 
rungen nahtlos anzupassen. Die Tatsache, 
dass sowohl der Clavister SSP als auch das 
Customer Premise Security Gateway (CPE) 
dasselbe hoch skalierbare Betriebssystem 
Clavister CorePlus’" verwenden, macht 
jegliche Kompromisse zwischen maxima- 
lem Service, Verfügbarkeit, Funktionalität, 
Steuerbarkeit, TCO sowie Kapitalinvesti- 
tionen hinfällig. 

Mit FineTune steht den Anbietern von 
Managed Security Services ein modernes, 
graphisch orientiertes Management-System 
(GUI) zur Verfügung, das die zentrale Ver- 
waltung einer Vielzahl von Clavister Securi- 
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ty-Gateways aus einer benutzerfreundlichen 
GUI-Umgebung heraus, ermöglicht. Über 
dieses Management-System ist die Remote- 
Verwaltung aller Clavister-Devices inklusi- 
ve deren Konfiguration, Real Time-Monito- 
ring sowie -Logging, Revisionskontrolle und 
Firmware Upgrades möglich und wird via 
128-Bit-Verschlüsselung und Authentifizie- 
rungsmechanismen effektiv geschützt. 

Mit Clavister-PinPoint”" ist ein neues 
Tool verfügbar, mit dem Sicherheitsprozes- 
se in Echtzeit überwacht werden können. 
Dieses ermöglicht Security Managern über 
eine intuitiv zu bedienende Oberfläche 
einen grafischen Überblick u.a. über Surf- 
gewohnheiten, Resultate von Virus- oder 
Malware-Scans, Einbruchsversuche in das 
Netzwerk oder VoIP-Statistiken. Vergleich- 
bar mit einem Flugzeug-Cockpit, können 
die „Piloten“ von PinPoint essenzielle 
Daten (Mission Critical) von weniger wich- 
tigen (Non-Critical) unterscheiden und an- 
zeigen lassen. Clavister ist der erste Herstel- 
ler, der eine einfach zu bedienende Appli- 
kation auf den Markt bringt, die Security- 
abhängige Vorfälle in Echtzeit visualisiert. 

Durch Clavister InSight wird diese 
Plattform mit erweiterten Funktionen für 
das Logging und Monitoring von Security- 
Events und um umfassende Alarm- und Fo- 
rensikfunktionen ergänzt. InSight bietet 
eine leistungsfähige „Security-Intelligenz“, 
die automatisch alle Event-Daten von Cla- 
vister-Systemen und anderen Multi-Ven- 
dor-Netzwerkgeräten wie Router oder 
Switches etc. sammelt, kontrolliert und re- 
portet. InSight liefert folgende fortschrittli- 
che Security-Intelligence-Features wie zum 
Beispiel: GUI (Graphical User Interface)- 
basierter detaillierter Event-Drilldown, 
User-definierbare Event- und Threat-Level- 
Klassifizierung, Heterogenes Real-Time- 
Monitoring, zusammengefasstes Reporting 
und viele weitere wertvolle Funktionen. 

Auch wenn die Firmen noch zögern, 
insgesamt mehren sich die Anzeichen 
dafür, dass sich der MSS-Markt in einem 
Aufschwung befindet. Das zeigt die Um- 
satzentwicklung der europäischen Security- 
Outsourcing-Anbieter: Die Analysten von 
Gartner bescheinigen diesen eine durch- 
schnittliche jährliche Wachstumsrate von 
14,9 Prozent. 
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Tel.: +49 40 411259-0 
E-Mail: info@clavister.de : www .clavister.de 


Sichern Sie sich den preiswerten 
Umstieg auf Ihre Clavister-SSP- 
Plattform! 

Nur im Juni und Juli 2008! Clavister 
gewährt im Rahmen seines Tradeln- 


Programms einen Rabatt von 10 Prozent 
bei der Ablösung alter Firewallsysteme 
durch die Clavister-SSP-Plattform. 

Bitte melden Sie sich bei uns unter 
info@clavister.de oder telefonisch unter: 
+49 40 4112950 
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Bewusstseins- 
erweiterung 


Best Practices bei der Umsetzung 
von Data Leakage Prevention 


Nicht immer schleusen Mitarbeiter aus purer 
Bösartigkeit oder für einen guten Nebenverdienst 
Daten aus dem Unternehmen, häufig genug mangelt 
es an Problembewusstsein oder technischem 
Verständnis. Die Einführung von Data Leakage 
Prevention im Unternehmen soll vor allem der 
Sensibilisierung dienen und das Arbeiten so wenig 


wie möglich behindern. 


ata-Leakage-Prevention- 

Produkte (DLP) gibt es in 
allen möglichen „Geschmacks- 
richtungen“ und von den unter- 
schiedlichsten Herstellern. Zum 
einen existieren netzwerkba- 
sierte DLP-Systeme, die mit 
speziellen Algorithmen den Da- 
tenstrom auf Policy-Verletzun- 
gen untersuchen. Auf der ande- 
ren Seite stehen hostbasierte 
Lösungen, die einen Agenten 
für die Einhaltung der Unter- 
nehmens-Policies auf dem 
Endgerät einsetzen. Zusätzlich 
gibt es hybride Systeme, die 
gleichzeitig Sensoren im Netz 
und Agenten einsetzen und 
deren Ergebnisse miteinander 
korrelieren können. 

Bei den Policies gibt es 
ebenso viele unterschiedliche 
Herangehensweisen. Beim 
Einsatz von kontextbasierten 
Systemen lässt sich definie- 
ren, was mit Dateien gesche- 
hen soll, die an einem be- 
stimmten Ort gespeichert sind 
oder die an einen anderen Ort 
kopiert werden sollen. Bei- 
spielsweise könnte man das 
Kopieren vom Netzlaufwerk 
auf den lokalen PC stillschwei- 
gend erlauben, jedoch beim 
Kopieren auf einen USB-Stick 
eine Warnung an den Benutzer 
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ausgeben, dass es sich dabei 
um ein potenziell unsicheres 
Medium handelt. 

Einen anderen Ansatz ver- 
folgen inhalts- oder contentba- 
sierte Produkte. Sie suchen 
nach frei definierbaren Mus- 
tern in Dateien oder Datenströ- 
men. Damit ließe sich bei- 
spielsweise erkennen, dass 
eine ausgehende Mail Kredit- 
karteninformationen, Stich- 
wörter wie „vertraulich“, 
„Übernahme“ oder auch die 
direkte Kombination zweier 
Wörter wie „Jahresabschluss“ 
und „Deckungsbeitrag“ ent- 
hält. 


Im kleinen Kreis 
Erfahrungen sammeln 


Welcher Ansatz besser für ein 
Unternehmen geeignet ist, 
hängt eng mit dem geplanten 
Einsatzgebiet zusammen. In 
der Praxis ist es eher unwahr- 
scheinlich, dass ein DLP-Pro- 
dukt in einem Zug unterneh- 
mensweit ausgerollt wird. 
Vielmehr beginnt man häufig 
mit einem eingeschränkten Be- 
nutzerkreis, der mit besonders 
wichtigen und vertraulichen 
Daten umgeht. Die damit ge- 
wonnenen Erfahrungen lassen 


sich dann in weiteren Schritten 
für den Rest des Unternehmens 
verwerten. 

Als konkretes Anwendungs- 
beispiel kann ein Unternehmen 
im Bereich der Softwareent- 
wicklung dienen. Die Firma 
möchte sich kurz vor der Fer- 
tigstellung eines neuen Pro- 
dukts davor schützen, dass 
illoyale Mitarbeiter den Quell- 
code aus der Organisation mit- 
nehmen und an die Konkurrenz 
verkaufen. Eine mögliche Lö- 
sung wäre der Einsatz eines 
DLP-Produkts, das das Kopie- 
ren von Quellcode auf USB-Me- 
dien, CDs, FTP-Server und so 
weiter verhindert. 

Ein ganz anderer Anwen- 
dungsfall ergibt sich etwa im 
Vorstandsbereich eines börsen- 
notierten Unternehmens. Ein 
Mitarbeiter hat in diesem Be- 
reich Zugang zu höchst ver- 
traulichen Informationen wie 
Finanzdaten, Prognosen, Über- 
nahmeplänen et cetera. Hier 
könnte eine DLP-Lösung zum 
Einsatz kommen, die die Mitar- 
beiter im bewussten Umgang 
mit diesen Informationen unter- 
stützt. Beispielsweise könnte 
das System um eine Begrün- 
dung bitten, wenn Mitarbeiter 
vertrauliche Daten auf ihren PC 
oder ein externes Medium ko- 
pieren möchten. 

Eine weitere denkbare Op- 
tion ist eine automatische Ver- 
schlüsselung der Zieldatei 
nach dem Kopiervorgang, so- 
dass sie nur noch innerhalb 
der DLP-Umgebung lesbar ist. 
Eine verlorene oder an die 
Konkurrenz verkaufte CD wäre 
somit wertlos. 


Nicht böswillig, 
sondern leichtfertig 


Insbesondere wenn es um den 
Umgang mit Personendaten, 
Kreditkartennummern oder In- 
formationen mit Börsenrelevanz 
geht, ist die Unterstützung be- 
ziehungsweise Sensibilisierung 
von Mitarbeitern die wichtigste 
Funktion eines DLP-Produkts. 
Denn nur in den wenigsten Fäl- 


len ist das Abfließen von Daten 
auf ein zielgerichtetes, böswilli- 
ges Verhalten zurückzuführen. 

Sowohl die Aussagen und 
Umfragen von Herstellern als 
auch die Erfahrungen der An- 
wender zeigen, dass ein großer 
Teil von Indiskretionen erfolgt, 
weil Mitarbeiter kein ausrei- 
chendes Sicherheitsbewusst- 
sein und technisches Ver- 
ständnis für den Umgang mit 
vertraulichen Daten haben. 
Viele Unternehmen setzen DLP- 
Produkte daher lediglich zu 
dem Zweck ein, ihre Mitarbeiter 
gezielt zu unterstützen und 
schrittweise zu erziehen. Si- 
cherheitsvorkehrungen wie 
straffe Dateisystemrechte, 
Festplattenverschlüsselung 
oder Device-Blocker sind im 
Vergleich zu DLP-Systemen 
schlicht machtlos, wenn ein 
Mitarbeiter eine vertrauliche 
Datei per E-Mail an seinen pri- 
vaten Account schickt, um in 
bester Absicht nach Feierabend 
weiterarbeiten zu können. 

Ein zentraler Aspekt bei der 
Einführung von DLP ist die Aus- 
wahl und Lokalisierung der In- 
formationen, die einen be- 
sonders hohen Wert für das 
Unternehmen haben. Gerade in 
Betrieben, die über mehrere 
Jahre hinweg oder durch Zu- 
käufe gewachsen sind, stellt 
sich das häufig als äußerst 
schwierig heraus. Zum einen 
liegen Daten möglicherweise 
über unzählige Fileserver ver- 
streut, zum anderen ist es mit- 
unter knifflig, den eigentlichen 
Besitzer von Dateien oder Ver- 
zeichnissen zu benennen. Die 
Abteilung, die eine DLP-Lösung 
einführen soll, steht hier vor der 
Frage, mit was für einer Art 
Daten und mit welcher Vertrau- 
lichkeitsstufe sie es überhaupt 
zu tun hat. 

Um Schwierigkeiten bei der 
Lokalisierung und Klassifizie- 
rung vertraulicher Informatio- 
nen auszuräumen, bieten die 
führenden DLP-Produkte inte- 
grierte Mechanismen, die auf 
sämtlichen Endgeräten und 
Servern Dateien erfassen und 
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kategorisieren. Dazu werden 
die vorhandenen DLP-Agenten 
auf Clients und Dateiservern 
genutzt. Sie helfen, Dateien 
beim Zugriff oder auch perio- 
disch zu klassifizieren. 


Metainformationen 
separat gespeichert 


Wie beschrieben arbeiten viele 
Produkte inhaltsbasiert, um 
Muster und Schlagwörter inner- 
halb von Dateien zu suchen. 
Außer Kreditkarteninformatio- 
nen oder Kundennummern et 
cetera kann man damit auch 
Sourcecode finden, der etwa an 
Schlagwörtern wie „public sta- 
tic void“ oder weiteren Schlüs- 
selwörtern erkennbar ist. 

Die Zuordnung erfolgt an 
der Datei selbst, ein möglicher 
Mechanismus ist etwa die 
Speicherung der Klassifikation 
in den sogenannten Alternate 
Data Streams des NTFS-Sys- 
tems. Das bietet den Vorteil, 
dass die Datei durch die Klas- 
sifizierung selbst nicht verän- 
dert wird. 

Anwendungsgebiete für eine 
derartige inhaltsbasierte Klassi- 
fizierung finden sich in Unter- 
nehmen, in denen Dateien über 
viele Dateiserver verstreut sind 
oder in denen es darum geht, 
eine erste Übersicht über die 
Verteilung und die Vertraulich- 
keit der eigenen Daten zu er- 
halten. Die Ergebnisse lassen 
sich mitunter als Grundlage für 
eine Policy verwenden oder um 
bisherige Strukturen und Pro- 


Start des 
Loggings 


Bekanntmachung 
an die Benutzer 


zesse unter Sicherheitsaspek- 
ten aufeinander abzustimmen. 

Eine ganz andere Art der 
Klassifizierung führen spezielle 
Data-Governance-Produkte 
durch. Sie können über einen 
Agenten auf den Dateiservern 
über jede Datei herausfinden, 
welche Personen und Abtei- 
lungen tatsächlich täglich mit 
den Daten arbeiten bezie- 
hungsweise sie erstellen. Das 
Ziel dabei ist, genau den Per- 
sonenkreis abzuleiten, der am 
besten über Inhalt und Ver- 
traulichkeit der Dateien ent- 
scheiden kann. 


Vorsicht vor 
Datenschutzverstößen 


Ein weiterer zentraler Punkt, 
über den sich Anwender schon 
weit im Vorfeld einer Einfüh- 
rung Gedanken machen sollten, 
ist das Logging des DLP-Pro- 
dukts. Die meisten der heutigen 
Produkte sind in der Lage, nicht 
nur Verstöße gegen Unterneh- 
mens-Policies zu protokollieren 
und zu verhindern, sondern 
detailliert jede Dateioperation, 
jeden URL-Aufruf und alle 
E-Mail-Operationen zu proto- 
kollieren, die ein Benutzer 
durchführt. Bei einigen dieser 
Produkte ist diese implizite Pro- 
tokollierung sogar standardmä- 
Big voreingestellt. 

Die Mehrzahl der derzeit 
am Markt verfügbaren Produkte 
kommt nicht aus Deutschland, 
sondern etwa aus Amerika 
oder Israel. Hier gelten andere 


Start der 
Warnungen 


Auch „sanfte Maßnahmen“ wie Warnhinweise senken die 
Anzahl der Policy-Verstöße bereits signifikant. Schon die 
Ankündigung über den Einsatz eines DLP-Produkts lässt die 
Zahl der Verstöße abnehmen und den Benutzer bewusster 


agieren (Abb. 1). 
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Gesetze für den Umgang mit 
mitarbeiterbezogenen Daten, 
teilweise ist dort sogar eine 
Protokollierung der Tätigkeiten 
der Mitarbeiter und ihres täg- 
lichen Arbeitsverhaltens er- 
wünscht. In Deutschland kön- 
nen DLP-Systeme mit Features 
zur allumfassenden Überwa- 
chung jedoch in Konflikt mit 
dem Bundesdatenschutzgesetz 
(BDSG) und Mitarbeiterüberwa- 
chungsparagrafen (z. B. BetrVG 
8 87, Abs. 1 Nr. 6) kommen. 
Um frühzeitig Konflikte 
aus dem Wege zu räumen, ist 
eine enge Abstimmung und 
Betrachtung unter rechtlichen 
Aspekten nötig. Ein detaillier- 
tes Rollen- und Administra- 
tionskonzept, das etwa die 
Szenarien „täglicher Betrieb“ 
und „Forensik“ klar voneinan- 
der trennt, kann Missbrauch 
verhindern. Für den Adminis- 
trator im täglichen Betrieb 
wären in dem Fall lediglich die 
einzelnen Agenten, Trends und 
anonyme Zusammenfassun- 
gen sichtbar. Im Fall des Ver- 
dachts, dass vertrauliche 
Dateien das Unternehmen 
verlassen haben, können die 
Verantwortlichen in enger 
Zusammenarbeit mit dem Be- 
triebsrat den Zugang zu sämt- 
lichen Detaildaten erlangen. 


DLP soll Arbeit 
nicht blockieren 


Geht es um den Entwurf einer 
Policy für ein DLP-Produkt, 
setzen die Verantwortlichen 
selten im ersten Schritt eine 
Policy ein, die Aktionen des 
Benutzers gezielt verhindert. 
Vielmehr wird zu Beginn ledig- 
lich das bisherige Verhalten 
eines Mitarbeiters erfasst, gege- 
benenfalls werden Warnungen 
an ihn ausgegeben. Anhand 
der gewonnenen Erkenntnisse 
lässt sich die Policy sukzessive 
anpassen. 

Möglicherweise erkennt 
man so aber auch Schwach- 
punkte in den etablierten 
Geschäftsprozessen. Wenn 
Mitarbeiter es beispielsweise 


gewohnt sind, vertrauliche In- 
formationen per unverschlüs- 
selter Mail zu versenden, soll- 
ten die Verantwortlichen das 
als Anlass sehen, nach den Ur- 
sachen für dieses Verhalten zu 
suchen und es zu ändern. Den- 
noch ist ein DLP-Produkt im 
Idealfall für den Benutzer trans- 
parent beziehungsweise gänz- 
lich unsichtbar. Das bedeutet, 
dass der DLP-Agent im Hinter- 
grund bleibt und den Benutzer 
nicht behindert, solange dieser 
nicht gegen die Regel verstößt. 

Je nach Zielsetzung des 
Unternehmens empfehlen sich 
für eine Policy unterschiedliche 
Herangehensweisen. Häufig 
kommt es darauf an, einen ele- 
ganten Kompromiss zwischen 
Sicherheit und Aufrechterhal- 
tung des Betriebs zu finden. 
Zum einen sollen Benutzer 
nicht unnötig in ihrer täglichen 
Arbeit eingeschränkt werden, 
die Alarme durch das DLP-Sys- 
tem nicht zu sehr zunehmen 
und der Helpdesk soll nicht 
durch Anrufe verärgerter Be- 
nutzer überlastet werden. Zum 
anderen muss man die Sicher- 
heit der Daten durch Einschrän- 
kung der potenziellen Datenbe- 
wegungen maximieren. 

Heutige DLP-Produkte sind 
deutlich flexibler als Device- 
Blocker, die durch Blockieren 
der Schnittstellen die Benut- 
zung von USB-Geräten, Netz- 
werk-Interfaces oder Ähnli- 
chem gänzlich verhindern. Die 
Policies lassen sich granularer 
einstellen. Beispielsweise kann 
ein DLP-System beim Kopieren 
auf USB-Medien aufgrund der 
Herkunft oder Klassifizierung 
zwischen vertraulichen und Öf- 
fentlichen Daten unterscheiden. 
Außerdem bieten sie eine Viel- 
zahl an Reaktionen im Fall 
einer Policy-Verletzung. 

Die Palette reicht von stiller 
Protokollierung über Warnmel- 
dungen an den Benutzer bis hin 
zu Formularen, in denen ein 
Benutzer eine Rechtfertigung 
für den ausgeführten Vorgang 
eingeben muss. In jedem Fall 
lässt sich einstellen, ob die 


iX extra 7/2008 


Ihre PCs brauchen: 


255 Sicherheit an allen Schnittstellen 
“5# Kontrolle aller Devices, Medien und Dateien 
10 Data Loss Prevention (DLP) 
= “F Automatische Verschlüsselung 
»/- 6 Medienbasierte Sicherheit 
7 © Personalisierte Datenträger 
0 Applikations-Kontrolle 
0) Awareness der Benutzer 


Alles aus einer Hand 
Kosteneffizient 
Sicher! 


. 7% 


DLP.mit-PDWatch |- = ®° 


| Firmenschlüssel - Daten bleiben in der Firma: 


J| Verschlüsselung kann mit persönlichen Schlüsseln oder einem 
Firmenschlüssel erzwungen werden: für bestimmte Dateien 
nach Namen und/ oder Inhalt benutzer- und gruppenspezifisch. 
Firmenschlüssel sind nur auf Firmenrechnern verwendbar und 
verhindern den Datendiebstahl. VIP-User verwenden den 
Firmenschlüssel optional. Datenlecks werden geschlossen - 
erlaubte Dateibewegungen protokolliert XRayWatch. 


Compliance durch content-sensitive Verschlüsselung: j 


Das BDSG39 verlangt beim Speichern personenbezogener 
Daten auf mobilen Datenträgern höheren Schutz. Unsere 
„Zwangsverschlüsselung“ erfüllt diese Anforderung. 
Protokollierung und die Zustimmung des Anwenders sind 
automatisierte Echtzeit-Prozesse. Unkritische Daten 
bleiben unverschlüsselt. VIP-User haben alle Rechte - der 
Haftungsübergang wird bei Bedarf protokolliert. 


Mehr Infos dazu unter www.itWatch.de/PDWatch.pdf 


Null Administration - Volle Sicherheit: 


Das aktuelle White Paper finden Sie im Netz unter 
|| www.itWatch.de/NullAdmin_VolleSich.pdf 


itWatch GmbH 
Tel.-+49 89 620 30 100 
info@itWatch.de 


| \ \| > NII www.itWatch.de 
FAN SS u | 


Security 


Benutzeraktion erlaubt oder 
verboten sein oder ob die Ziel- 
datei sogar transparent ver- 
schlüsselt werden soll. Grund- 
sätzlich bieten DLP-Systeme 
gegenüber Device-Blockern 
Optionen, Einschränkungen 
und Verbote an geeigneten 
Stellen zu lockern und dem 
Benutzer dadurch mehr Flexi- 
bilität zu bieten, ohne die Si- 
cherheit gleich komplett aus- 
zuhebeln. 


Kleine Maßnahmen - 
große Wirkung 


Unabhängig von der gewählten 
Policy und den Logging-Fähig- 
keiten können Anwender wäh- 
rend der konkreten Einführung 
einer DLP-Lösung beziehungs- 
weise eines Pilotversuchs 
interessante Nebeneffekte be- 
obachten. In den USA wurde 
beispielsweise während einer 
solchen Einführungsphase die 
Entwicklung des Benutzerver- 
haltens untersucht. Ziel war 
herauszufinden, inwieweit das 
Wissen über den Einsatz eines 
solchen Systems das Benutzer- 
verhalten beeinflusst. 

Dabei stellten die Forscher 
fest, dass allein die Benach- 
richtigung über den Einsatz 
eines Produkts, das das Verhal- 
ten von Benutzern protokollie- 
ren kann, Auswirkungen hatte. 
Die Beobachtungen ergaben, 
dass sich mit der Bekanntma- 
chung die durchschnittliche 
Anzahl der Policy-Verstöße um 
einen beachtlichen Prozentsatz 
verringerte (Abbildung 1). Die 
Verstöße gingen nach der Ein- 
führung von Warnhinweisen, 
die die Benutzer auf Verstöße 
aufmerksam machten, weiter 
zurück. 

Ein derartig umfassender 
und tiefgreifender Eingriff in 
Geschäftsprozesse wie bei DLP 
ruft natürlich immer Kritiker auf 
den Plan, die die Software 
hinterfragen oder versuchen, 
Lücken und Schwachstellen im 
System zu finden. Auf der orga- 
nisatorischen Seite kommen 
häufig Fragen nach Betrieb und 


xVl 


Verantwortlichkeit sowie der 
gefürchteten Überwachung. 
Doch wie oben dargestellt, 
wählen viele Unternehmen die 
Methode der sukzessiven An- 
passung der Policy, die zu Be- 
ginn nur passiv im Hintergrund 
protokolliert. Auf diesem Weg 
lässt sich der anfängliche Be- 
triebsaufwand relativ gering hal- 
ten. Ist eine Policy etabliert und 
haben sich die Benutzer an die 
Interaktion mit einem DLP-Sys- 
tem gewöhnt, sind an den Poli- 
cies üblicherweise keine Verän- 
derungen mehr vorzunehmen. 
Die Verantwortlichkeit für 
das System hängt unter ande- 
rem von der gewählten Tech- 
nologie ab. Netzwerkbasierte 
DLP-Systeme sind in anderen 
Bereichen anzusiedeln als host- 
basierte Systeme. Zudem 
haben Erstere den Nachteil, 
dass sie wegen der einge- 
schränkten Sichtweise und 
Heuristiken Fehlalarme produ- 
zieren können, die der Verant- 
wortliche periodisch auswerten 
muss. Hostbasierte Systeme 
dagegen können direkt am Ur- 
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sprung des Vorfalls ansetzen 
und liefern daher erfahrungsge- 
mäß zuverlässigere Ergebnisse. 


Technische Aspekte 
berücksichtigen 


Auf der technischen Seite gibt 
es häufig Fragen, wie tief sich 
DLP-Agenten in das Betriebs- 
system der Clients einklinken. 
Um Benutzervorgänge wie Ko- 
pieren von Dateien, Drucken, 
Speichern, Bildschirmausdru- 
cke oder Netzwerkkommunika- 
tion kontrollieren zu können, ist 
eine Einbettung in den Kernel 
nötig. Deshalb müssen vor Im- 
plementierung und Patch-Roll- 
out — wie auch bei anderen 
Softwareprodukten üblich — 
Kompatibilitätstests durchge- 
führt werden, um Wechselwir- 
kungen mit anderen lokalen 
Produkten auszuschließen. 
Ebenso stellen sich viele die 
Frage, wie sich derartige Syste- 
me umgehen lassen. Menschen 
mit genügend krimineller Ener- 
gie und Fachwissen werden si- 
cherlich einen Weg finden, trotz 


DLP-Agent vertrauliche Daten 
aus dem Betrieb oder der Be- 
hörde zu schleusen. Häufig 
hängt das damit zusammen, 
wie der Kompromiss zwischen 
Sicherheit und Produktivität ge- 
wählt ist. Doch selbst wenn ein 
böswilliger Mitarbeiter einen 
Weg finden sollte, mit techni- 
schen Tricks vertrauliche Daten 
zu kopieren, so wird er in der 
Regel zumindest so viele Spu- 
ren hinterlassen, dass sich der 
Weg zu ihm zurückverfolgen 
lässt. 

Grundsätzlich haben viele 
Unternehmen eingesehen, dass 
es nicht darum geht, sich hun- 
dertprozentig und vor sämt- 
lichen Missetätern zu schützen, 
sondern dass man mit heutigen 
DLP-Systemen einen Großteil 
an Datenbewegungen oder 
-abflüssen kontrollieren und die 
Mitarbeiter in der täglichen Ar- 
beit mit vertraulichen Daten 
unterstützen und sensibilisieren 
kann. (sf/ur) 

Max Ziegler 
ist Consultant bei der 
Heilbronner cirosec GmbH. 


Storage - Management für Speichernetze 


Schlagworte gibt es viele in der 
Speicherbranche. Doch wie 
sehen die Auswirkungen von 
Datenwachstum, Compliance 
oder Konsolidierung für die Spei- 
cherinfrastruktur und die Spei- 
chernetze wirklich aus? Damit 
die IT-Abteilung der Entwicklung 
nicht einfach hinterherläuft, soll- 
te sie ihre Überwachungs- und 
Verwaltungstools auf dem neu- 


esten Stand halten. Ein Reality- 
Check muss sich um den Stand 
der Dinge bei LAN, SAN und NAS 
kümmern: Wird Fibre Channel 
over Ethernet (FCoE) Fibre Chan- 
nel und iSCSI ablösen? Zurück 


zu einem Netz für alles? 


iX extra wirft ferner einen 
Blick auf Virtualisierung als 
Management-Instrument für 


Storage, automatische Lastver- 


teilung und Ressourcen-Manage- 
ment und vergleicht die großen 
Management-Suites. Last, but 
not least: Was ist eigentlich aus 
der groß angekündigten Initiative 
der SNIA geworden, mit SMI-S 
einen Standard für Storage Ma- 
nagement zu entwickeln? 
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